Security-voordelen van migratie naar cloud nog altijd onderschat

Door Charles Bovy, Director MSS PreSales EMEA & Regional Lead Benelux 

Of het nu in de vorm is van PaaS, SaaS of IaaS – bedrijven migreren steeds vaker naar de cloud. Die heeft immers drie erg aantrek­ke­lijke kenmerken: wend­baar­heid, effi­ci­ëntie en winst­ge­vend­heid. Maar er is ook nog een vierde voordeel aan verbonden, waar de meeste bedrijven zich nog niet van bewust zijn: uitste­kende bevei­li­ging.
Dit laatste krijgt in het migra­tie­proces nog niet de erkenning die het verdient. Sterker nog: de bijho­rende voordelen worden nog al te vaak over het hoofd gezien. Aller­eerst zien veel bedrijven hun cloud provider als enige veilig­heids­be­heerder. Wanneer bedrijven hun on-premise processen naar de cloud brengen, worden hun eigen, kwali­ta­tief goede bevei­li­gings­prak­tijken daardoor niet in de cloud gere­pli­ceerd. Bovendien komt het ook voor dat de IT-afdeling simpelweg niet wordt gecon­sul­teerd wanneer er cloud­dien­sten worden opgezet.

Al deze elementen – afzon­der­lijk of gecom­bi­neerd – zorgen voor verwar­ring op het vlak van cloud-bevei­li­ging. Wie is ervoor verant­woor­de­lijk? En van welke afdeling? Welk veilig­heids­ni­veau is er nu al? Hoe kwetsbaar is het bedrijf? Stuk voor stuk moeilijk te beant­woorden vragen.

Complexere omgeving

Als we het hebben over de hybrid cloud, dan is dit bevei­li­gings­vraag­stuk nog proble­ma­ti­scher. Sinds enkele jaren bevei­ligen bedrijven wel hun data­cen­ters en maken ze veel­vuldig gebruik van verschil­lende oplos­singen en best practices, maar in de meeste gevallen is de bevei­li­ging van de cloud hier niet in geïntegreerd.

In een data­center bevinden alle oplos­singen, zoals firewalls, file­ser­vers en data­be­vei­li­ging, zich binnen direct hand­be­reik. Als een bedrijf een deel van zijn infra­struc­tuur wil over­brengen naar de cloud, moeten daar dus dezelfde bevei­li­gings­re­gels kunnen worden toegepast. Maar de oplos­singen voor security mana­ge­ment in cloud-omge­vingen zijn niet altijd dezelfde als die in eigen data­center-omge­vingen. Zodra onder­ne­mingen hun bevei­li­ging op twee manieren dienen te beheren – deels in de cloud en deels in het eigen data­center – komen ze op een kritiek punt: ze moeten namelijk voor de cloud een bevei­li­gings­ni­veau garan­deren dat minimaal gelijk is aan dat van de on-premise infrastructuur.

Deze bevei­li­ging op twee verschil­lende platforms kan ervoor zorgen dat de cloud kwets­baarder wordt en daarmee de ideale toegangs­poort wordt voor cyber­cri­mi­nelen. Hackers geraken namelijk makkelijk aan alle infor­matie die in de cloud is opge­slagen, waarmee ze vervol­gens moei­te­loos het data­center kunnen binnen­dringen. Daarom is het nood­za­ke­lijk om de bevei­li­ging binnen de cloud minstens op hetzelfde niveau te krijgen als on-premise. En gezien de toege­nomen zicht­baar­heid van cloud­dien­sten liefst nog op een niveau hoger.

Multicloud ‘omkaderd’

Hoewel veel onder­ne­mingen – en daar binnen weer tal van afde­lingen – momenteel al gebruik maken van meerdere leve­ran­ciers van cloud-diensten, maken zij de keuze daarvoor zelden in overleg met de IT-afdeling. Daardoor zitten ze met verschil­lende cloud-oplos­singen en dus ook met verschil­lende beheer­tools en contro­le­me­cha­nismen.
Hierdoor valt de opkomst van ‘Shadow IT’ op te merken. Door de toename van het aantal oplos­singen – en daarmee ook de toegangs­ka­nalen – zonder dat de IT-afdeling hierover is geïn­for­meerd, wordt de bevei­li­ging moei­lijker te beheren. En hoe kan er dan worden gega­ran­deerd dat deze verschil­lende omge­vingen op een veilige manier met elkaar communiceren?

Cloud governance

Om deze uitdaging het hoofd te bieden moet er een vorm van cloud gover­nance worden geïm­ple­men­teerd, die de geschikt­heid van de ene leve­ran­cier tegenover de andere kan valideren. Onder de in te stellen processen en regels moet ook een evalu­a­tie­be­leid voor cloud providers vallen, zodat zij gega­ran­deerd instaan voor de nodige authen­ti­ca­tie­sys­temen, toegangs­con­troles en het secu­ri­ty­ma­na­ge­ment voor de commu­ni­catie met de datacenters.

Om zowel in de cloud als on-premise hetzelfde bevei­li­gings­ni­veau te garan­deren, is auto­ma­ti­se­ring de sleutel tot succes. Met bevei­li­gings­au­to­ma­ti­se­ring wordt niet alleen tijd gewonnen, maar verloopt het proces ook effi­ci­ënter. Het zorgt ervoor dat de verwachte doel­stel­lingen worden behaald en voegt ook bevei­li­ging toe. Maar als wend­baar­heid en snelheid al zijn geau­to­ma­ti­seerd, komt de bevei­li­gings­au­to­ma­ti­se­ring jammer genoeg te vaak pas aan het einde van de keten. En dat terwijl net de hele produc­tie­keten en alle diensten die we naar de cloud migreren, geau­to­ma­ti­seerd moeten worden. Als we bevei­li­ging van meet af aan opnemen in de stra­te­gie­ont­wik­ke­ling, dan vormt het geen beperking en is het een klassieke parameter die in het globale proces is geïntegreerd.

Best practices definiëren

Om dit te bereiken, is het nodig dat bedrijven zich struc­tu­reel orga­ni­seren en werk­groepen instal­leren waarin de IT-kennis samenkomt. Op die manier heeft iedereen een concreet beeld van elkaars behoeften en obstakels, en kunnen het interne proces en de instel­ling van de teams evolueren. Draagvlak daarvoor kan worden gevonden op mana­ge­ment­ni­veau, zodat het project alle lagen van het bedrijf onder­steunt. Soms zal er bovendien beroep moeten worden gedaan op externe dienst­ver­le­ners om het hoofd boven water te houden, zodat projecten aan produc­ti­vi­teit en compe­ti­ti­vi­teit kunnen winnen.
Op het vlak van best practices bestaan er enkele essen­tiële bevei­li­gings­re­gels, ongeacht wat er in de cloud is opge­slagen. Denk hierbij aan toegangs­con­troles als oplos­singen voor netwerk­fil­te­ring, maar ook toegangs­con­troles voor gebrui­kers. Verder zal een bedrijf – afhan­ke­lijk van de omgeving waarin het actief is – verschil­lende bevei­li­gings­con­cepten moeten instal­leren op basis van wat er in de cloud wordt opge­slagen. Worden er bijvoor­beeld klant­ge­ge­vens opge­slagen, dan moet het bedrijf extra waakzaam zijn en oplos­singen voor encryptie implementeren.

Geen barrière

Bevei­li­ging mag dus geen barrière zijn als het aankomt op migratie naar de cloud, en het is gewoon zaak om de best practices te imple­men­teren. Bedrijven moeten eerst bepalen waarvoor ze de cloud precies willen inzetten om daarna de tech­ni­sche en finan­ciële criteria voor deze veran­de­ring te bepalen. Daarnaast is het belang­rijk om een cloud-strategie op de middel­lange termijn te ontwik­kelen, waarin alle bedrijfs­stra­te­gieën verwerkt zijn: van IT tot mana­ge­ment. Het is absoluut nood­za­ke­lijk dat iedereen binnen de orga­ni­satie op één lijn zit. Als iedereen voor zichzelf denkt, is het onmo­ge­lijk om te weten of de gebruikte cloud-diensten in over­een­stem­ming zijn met de algemene strategie, met de andere diensten die in de rest van het bedrijf worden ingezet, en met de tech­ni­sche beper­kingen van het bedrijf